Résolu

[hoops1075]

Bonjour,

 

Dans mon gestionnaire de tâches apparaît un processus "system.exe" qui me semble suspect. Je ne le trouve nulle part, ni dans le disque dur, ni dans le registre.

Sur le web, il apparaît plusieurs fois comme un ver nommé W32/Colevo-A (d'après Sophos) ou W32.HLLW.Gaobot.gen (d'après Symantec).

Chez Secuser.com, ils ne parlent pas de ce fichier.

Sur ce lien : Liste de processus (normaux et dangereux)

il apparaît comme un processus dangereux (mais que vaut cette page ?).

Mes anti-saloperies (AVG, Ad-Aware, Spy Emergency - à jour) ne détectent rien.

 

C'est grave docteur ? Et si oui, comment on soigne ?

 

Merci

Modifié le 8 juin 2005 par hoops1075

[queruak]

Bonjour hoops1075, bonjour à tous,

 

C'est un malware!

 

Une infection est rarement isolée.

 

Poste s'il te plait un rapport hijackthis.

http://www.merijn.org/files/hijackthis.zip

 

-- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

--- cliquer sur 'Scan', l'affichage est instantané.

--- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

--- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

--- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

--- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

--- attendre l'analyse et la réponse.

[megataupe]

Bonjour hoops. Vu la liste des possibles trojans concernant cet exe :

 

Startup Name Process Name Details

X cmsound vcsystem.exe "Added by the TCXMEDI-D downloader TROJAN!"

X Command system.exe "Added by the GATECRASH.A or GATECRASH.B TROJANS!"

X Configuration Loader System.exe "Added by the GAOBOT.AO WORM!"

X Control Panel System.exe "Added by the DANI TROJAN!"

X isystem isystem.exe Searchforfree.info browser hijacker

X Microsoft IPC system.exe "Added by the NULLBOT TROJAN!"

X MSkernel32 System.exe 4820 "Added by the TUXDER TROJAN!"

X PrintSpoolSv System.exe "Added by the BDOOR-S TROJAN!"

X shellsystem shellsystem.exe "Added by the UPCHAN TROJAN!"

X ssgrate.exe system.exe "Added by the MITGLIEDER.C TROJAN!"

X SysProtect System.exe "Added by the NETSPY TROJAN!"

X System system.exe Added by various WORMS and TROJANS!

X System Backup msystem.exe Adult content dialler

X system manager System.exe "Added by the FORBOT-BO WORM!"

X System Update2 system.exe "Added by the AUTOTROJ-C TROJAN!"

X System.exe System.exe Added by various WORMS and TROJANS!

X System32 system.exe "Added by the BUSHTRO122 TROJAN!"

X WIN USB 2.0 usbsystem.exe Added by an unidentified WORM of TROJAN!

X Windows System Manager winsystem.exe "Added by the RBOT-AN WORM!"

X Windows_Protect winsystem.exe "Added by a variant of the RBOT WORM!"

X WinSystem winsystem.exe "Added by the WHITEBAIT WORM!"

X Winsystem winsystem.exe "Added by the BANCOS.CR TROJAN!"

X Win_api_driver system.exe "Added by the REVIRD TROJAN!"

 

je te conseille de commencer par cette procédure et d'attendre l'ordonnance du Dr queruak :

 

lance l'Explorateur Windows et supprime le contenu de

--- C:\Temp

--- C:\Windows\Temp

suppression des fichiers inutiles par :

-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles

----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm

examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent

recherche d'hijack furieux avec CWShredder à télécharger sur http://www.intermute.com/products/cwshredder.html

examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve

examen antispyware par

------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve

----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.

 

Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel :

- télécharger HijackThis de Merijn Belekom

http://www.merijn.org/files/hijackthis.zip

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse.

 

 

Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

 

edit : c'est plus un docteur queruak , c'est le Samu du net

Modifié le 6 juin 2005 par megataupe

[queruak]

Rebonjour à tous,

je te conseille de commencer par cette procédure et d'attendre l'ordonnance du Dr queruak   :

edit : c'est plus un docteur queruak , c'est le Samu du net

513231[/snapback]

LOL

Bonjour megataupe

Grillé !!!!!

Modifié le 6 juin 2005 par queruak

[hoops1075]

Merci pour vos réponses (ben y'a du taf !). Voici le rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 10:13:34, on 06/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

d:\AVGFRE~1\avgamsvr.exe

d:\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\Explorer.EXE

D:\AVGFRE~1\avgcc.exe

D:\AVGFRE~1\avgemc.exe

C:\WINDOWS\system\lsass.exe

D:\ZoneAlarm\zlclient.exe

D:\ProShowGold\ScsiAccess.exe

C:\WINDOWS\System32\svchost.exe

D:\WonderKeys\wonderkeys.exe

C:\WINDOWS\SYSTEM32\DRIVERS\etc\system.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

D:\RamBoost XP\rambxpfr.exe

D:\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\taskmgr.exe

E:\Programmes\TEST\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.karneval.cz:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - D:\Desktop Sidebar\sbhelp.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [AVG7_CC] d:\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] d:\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [lsass Service] C:\WINDOWS\system\lsass.exe

O4 - HKLM\..\Run: [Zone Labs Client] "d:\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [h3yb0y] C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\service.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

O4 - HKLM\..\Run: [h3yb0y1] C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\system.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\serv-u.ini

O4 - HKCU\..\Run: [WonderKeys] D:\WonderKeys\wonderkeys.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Desktop Sidebar\sbhelp.dll/menuhandler.html

O8 - Extra context menu item: Télécharger avec Star Downloader - D:\STARDO~1\sdie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Desktop Sidebar\sbhelp.dll

O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Desktop Sidebar\sbhelp.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - D:\Hello\PicasaCapture.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6F9A26-B06F-4F0C-87EF-0275B47804F7}: NameServer = 81.27.192.33,81.27.192.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{B75997FC-1E36-47B4-8066-B9B4D4ECE40E}: NameServer = 81.27.192.33,81.27.192.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{F50AD60C-22A8-4492-958F-CD93CEDE3EE3}: NameServer = 81.27.192.33,81.27.192.97

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\AVGFRE~1\avgupsvc.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: PDEngine - Raxco Software, Inc. - D:\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Raxco\PerfectDisk\PDSched.exe

O23 - Service: ScsiAccess - Unknown owner - D:\ProShowGold\ScsiAccess.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

J'y vois pas très clair là mais bon, c'est vous qui voyez...

[queruak]

Rebonjour,

 

Est ce que tu as toujours Panda sur ton PC ?

Sinon il est mal désinstallé .

 

Je regarde ton rapport, réponse dans quelques quelques instants .

[hoops1075]

Non, Panda n'y est plus, je vais le traquer... Merci

[megataupe]

Et ben, tu as de quoi faire mon cher Docteur, lsass et system 32 attaqués: miam-miam

[hoops1075]

J'ai fait une recherche dans le registre, y'a une quarantaine de clés restantes pour Panda. Tu connais un utilitaire (gratuit de préférence mais payant aussi) pour virer proprement toutes les entrées ? Je peux le faire manuellement mais je crains de virer des trucs qu'il faudrait pas enlever... Mais bon, s'il faut...

[megataupe]

Regseeker ou JV16 font ça très bien. Voir dans la rubrique téléchargements de Zébulon. Supprimer aussi les drivers de Panda dans le gestionnaire de périphériques (demander l'affichage des périphériques cachés).